アカウント名:
パスワード:
そもそも interface にラベル付けて、WAN 側からのパケットでは newrole できないように設定するとかしたら、とりあえずは外部からは防げますよね。
さすがに console からだけとかだとアレですが、内部管理用マシンからシリアルコンソールに繋いで、そこから以外は newrole させないという手もありますか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
rootのいない管理方式って、、、 (スコア:1)
そのユーザのログインシェルが、mkdirしか実行できなかったりする?
Re:rootのいない管理方式って、、、 (スコア:1)
rootのパスワードがばれていたら意味ないですが。
# newrole -r sysadm_r ができてしまう為。
---にょろ~ん
Re:rootのいない管理方式って、、、 (スコア:1)
そもそも interface にラベル付けて、WAN 側からのパケットでは newrole できないように設定するとかしたら、とりあえずは外部からは防げますよね。
さすがに console からだけとかだとアレですが、内部管理用マシンからシリアルコンソールに繋いで、そこから以外は newrole させないという手もありますか。
Re:rootのいない管理方式って、、、 (スコア:1)
sshdからの遷移でsysadm_tに行けないようにするというような設定ができますね。
ドメイン遷移の設定が面倒なら、ネットワークログインであることを
示すロールを作って、sysadm_rに行けないようにするとか。
まぁ、がんがってください。